Audit logları ve genel anlamda auditing, sistem üzerindeki erişimi, sistemdeki arızaları, Active Directory ortamındaki izinsiz denemeleri vs gözlemlemekte büyük yarar sağlar. Ancak bu bilinen ve görülen korunma yöntemi sebebi dışında bilinmeyen, hangi counter’ın hangi saldırı türü için orada bulunmuş olduğu ve tam olarak ne işe yaradığıdır. Biraz detaylıca incelemek istersek, birçok çeşitli auditing türü olmasına rağmen, esas konumuzla alakalı olan, security auditing hadisesinde windows server 2003 için seçeneklerimiz bellidir.
Şöyleki ;
Log on ve Log Off için Success Audit : Aslında bu seçeneğin adından oldukça fikir sahibi olabiliriz, fakat bizim dikkat etmemiz gereken burada event in olduğu zaman dilimidir. Örneğin Pazar günü oluşan bir event heleki normal bir çalışan için gerçekleştiyse oldukça dikkat çekici olacaktır J tabi bu kişi kendini işine adamış inanılmaz çalışkan biri değilse…
Sonuçta bu trigger bizlere, tüm logon ve logoff bilgilerini verecektir. Böylelikle sisteme erişim in kimin tarafından ve ne zaman gerçekleştiği tam olarak görülür. Bu da sistemimize bir giriş olursa haberdar olmamızı sağlar.. çalınan parolalar için kesin bir çözümdür. Log on ve Log Off için Failure Audit : Bu seçenek ile, direk olarak, sisteme giriş yapma çabalarını görmemiz sağlanır. Böylelikle birisi sisteme erişmek için denemeler yapıyorsa, event loglarına direk olarak düşecektir. Buda bu konuda anında önlem almamızı sağlayacaktır. Kullanıcı hakları, denetimi, kullanıcı ve grup yönetimi, security policy değişikliği vs.. gibi triggerlarda success audit : Bu seçenek bizlere kullanıcıların kendi hakları olmayan işlemleri gizlice gerçekleştirdiğini gösterecektir. Burda failure açmamamızın sebebi, çok fazla event in bu konuda yanlışlıkla bile oluşabilmesinden ötürü log dosyasının çok fazla şişme ihtimalidir. Obje erişimi, dosya erişimi, konuları için Success ve read/write erişimi gibi konularda Failure audit : Bu durum ise, access management sisteminin doğru uygulanmadığını gösterir, genel erişim sistemi için sistemde yer alan ACL lerden söz etmediğimi belirtmek isterim.. daha ziyade genel bilgi güvenliği anlayışı olarak bu durumdan söz ediyorum. Daha düzgün ve bilinçli olarak bu sistem yerleştirilmeli ve şirketin her evrakı her datası için bu sistem uygulanmalıdır. İzinsiz erişimi denetlememizi sağlar bu trigger. Process ler, Program Files ve benzeri önemli DLL dosyalarına erişim açısından Success ve Failure audit : Sisteminizdeki loglarda bu şekilde bir event kabarması yaşıyorsanız yapmanız gereken iki şey vardır. 1) yama yönetim sisteminizi gözden geçirin ve tüm yamalarınızı gerçekleştirin. 2) Antivirüs yazılımınızı güncelleyin, eğer güncellediyseniz değiştirin J. Genel anlamda küçük auditlerin size ne gibi avantajlar sağlayabilceğini göstermek konusunda umarım başarılı olmuşumdur. Bunun dışında akılda kalması açısından ;Log dosyalarınız için 15 MB lık bir alan ayırıp, kendi içinde günü geldikçe tekrar yazılabilir olarak ayarlarsanız, oldukça faydalı olur. Tabi günü gelmeden önce bir cronjob (linux) veya Scheduled task (windows) yaratıp bu logların bir yere yedeğini almanızı şiddetle tavsiye ederim J İyi çalışmalar.
0 Yanıt, “Sunucular da AUDITING yapmanın faydaları”